La Estrategia Nacional para Identidades de Confianza en el Ciberespacio (NSTIC) es una iniciativa del gobierno de EE. UU. Anunciada en abril de 2011 para mejorar la privacidad, la seguridad y la conveniencia de las transacciones sensibles en línea a través de esfuerzos de colaboración con el sector privado, grupos de defensa, agencias gubernamentales y otras organizaciones. [1]
La estrategia imaginó un entorno en línea donde las personas y las organizaciones pueden confiar entre sí porque identifican y autentican sus identidades digitales y las identidades digitales de organizaciones y dispositivos. [2] Se promovió para ofrecer, pero no exigir, una identificación y autenticación más sólidas al tiempo que protegía la privacidad al limitar la cantidad de información que las personas deben revelar. [3]
La estrategia se desarrolló con el aporte de cabilderos del sector privado , incluidas organizaciones que representan a 18 grupos empresariales, 70 grupos asesores federales y sin fines de lucro, y comentarios y diálogos del público.
La estrategia tenía cuatro principios rectores: [4]
El NSTIC describió una visión en comparación con un ecosistema en el que las personas, las empresas y otras organizaciones disfrutan de una mayor confianza y seguridad al realizar transacciones sensibles en línea. Las tecnologías, las políticas y los estándares acordados respaldarían de manera segura transacciones que van desde anónimas hasta completamente autenticadas y de bajo a alto valor en un mundo tan imaginario. La implementación incluyó tres iniciativas:
NSTIC fue anunciado durante la presidencia de Barack Obama cerca del final de su primer mandato el 15 de abril de 2011. [1] Un artículo de la revista dijo que las personas podrían validar sus identidades de forma segura para transacciones sensibles (como operaciones bancarias o ver registros médicos) y permitirles permanezca en el anonimato cuando no lo estén (como en blogs o navegando por la Web). [8]
En enero de 2011, el Departamento de Comercio de EE. UU. Estableció una Oficina de Programas Nacionales (NPO), dirigida por el Instituto Nacional de Estándares y Tecnología , para ayudar a implementar NSTIC. [9] Para coordinar las actividades de implementación de las agencias federales, la NPO trabaja con el Coordinador de Ciberseguridad de la Casa Blanca , originalmente Howard Schmidt [3] y luego, después de 2012, Michael Daniel. [10]
El NSTIC convocó a un grupo directivo liderado por el sector privado para administrar el desarrollo y la adopción de su marco. Este Grupo Directivo de Ecosistemas de Identidad (IDESG) celebró una reunión en Chicago del 15 al 16 de agosto de 2012. [11] La reunión reunió a 195 miembros en persona y 315 miembros de forma remota. Las reuniones plenarias adicionales se llevaron a cabo en Phoenix, Arizona , [12] Santa Clara, California [13] y Boston, Massachusetts . Con una subvención de 2012 a 2014, Trusted Federal Systems, Inc. fue el organismo administrativo del grupo. [14]
El gobierno federal inició y apoyó programas piloto. En 2012, NSTIC otorgó $ 9 millones a proyectos piloto en el primer año. Por ejemplo, la Asociación Estadounidense de Administradores de Vehículos Motorizados estaba desarrollando una demostración de credenciales de proveedor de identidad comercial por parte del gobierno del estado de Virginia , incluida la verificación segura de identidades en línea con el Departamento de Vehículos Motorizados de Virginia. [15] El Internet2 recibió alrededor de $ 1,8 millones para la investigación. [15] ID.me recibió una subvención de dos años en 2013. [16]
El trabajo adicional financiado por NIST se encuentra en su página web Trusted Identities Group. [17]
El NSTIC pidió a las agencias del gobierno federal de los Estados Unidos que sean los primeros en adoptar el Ecosistema de Identidad previsto en NSTIC. [7] Las agencias lucharon por implementarlo para los servicios que brindan interna y externamente. Las barreras técnicas, políticas y de costos dificultaban la aceptación de proveedores de credenciales de terceros acreditados por la iniciativa Federal Identity, Credential and Access Management (FICAM). [18]
En respuesta, la Casa Blanca creó un equipo Federal Cloud Credential Exchange (FCCX), copresidido por NSTIC y la Administración de Servicios Generales . El equipo estaba formado por representantes de agencias a cuyas aplicaciones accede una gran población de clientes externos. En noviembre de 2012, se eligió al Servicio Postal de los Estados Unidos para administrar una versión piloto del FCCX y se le otorgó el contrato para construirlo a SecureKey Technologies, miembro de FIDO Alliance . Ese contrato fue renovado en mayo de 2015. [19] [20]
Connect.gov fue lanzado en diciembre de 2014, la manifestación de este piloto. Las dos primeras empresas que proporcionaron servicios de gestión de identidad a ciudadanos estadounidenses individuales compatibles con Connect.gov fueron ID.me y Verizon. [21] Ping Identity y Forgerock fueron las primeras plataformas de software que proporcionaron credenciales compatibles con FICAM y permitieron a las organizaciones del sector privado conectarse de forma segura con agencias gubernamentales, un objetivo principal de este proyecto. [22] [23]
El 10 de mayo de 2016, 18F anunció en una entrada de blog que Connect.gov sería reemplazado. [24] [25] El sistema de reemplazo se llamaría Login.gov [26] y se lanzaría en abril de 2017. [27]
El Identity Ecosystem Steering Group (IDESG) recibió financiación inicial del NIST en 2010 y desde entonces ha creado una serie de documentos que están disponibles en su sitio web. [28] En 2016 introdujeron el Registro del Marco de Ecosistemas de Identidad (IDEF) [29] para la autoevaluación.
La propuesta generó críticas desde que se publicó en forma de borrador en junio de 2010. [3] [30] Mucho se centró en las implicaciones de privacidad de la propuesta.
Poco después de la publicación del borrador, el Centro de Información sobre Privacidad Electrónica (EPIC), con otras organizaciones de derechos del consumidor y libertades civiles, envió al comité una declaración en respuesta al borrador de la política NSTIC, solicitando un plan más claro y completo para crear y salvaguardar Internet. los derechos y la privacidad de los usuarios. [31] Si bien el director de EPIC, Marc Rotenberg, calificó a NSTIC de "histórico", también advirtió que "... la identidad en línea es un problema complejo y el riesgo de 'robo de identidad cibernética' con sistemas de identidad consolidados es muy real. necesitamos hacer más para proteger la privacidad en línea ". [32]
NSTIC abordó algunas preocupaciones de privacidad tempranas a través de su documento de principios de prácticas de información justa de 2013. [33] Las iniciativas posteriores buscaron promover la privacidad. Por ejemplo, la American Civil Liberties Union y la Electronic Frontier Foundation participaron en un comité de privacidad en el IDESG.